Gå til innhold
10.06.2002 Skriv ut

Kredittilsynets merknader etter tilsyn

Ernst & Young AS

Postboks 228  Skøyen
0213  OSLO

Saksbehandler: Steinar Nyhus
Dir. tlf.: 22 93 98 34
Vår ref: 2001/07083
Arkivnr.: 624.1
Deres ref.:
Dato: 10.06.2002

 


 

Det vises til tidligere korrespondanse, senest Kredittilsynets brev av 05.06.2002, som inneholder beskrivelse av Deres revisjon av et større konsern og Kredittilsynets vurderinger og merknader i denne forbindelse. Det er ikke fremkommet forhold som indikerer at det er feil i de aktuelle årsregnskap, men saken reiser sentrale problemstillinger for utførelsen av revisjonsarbeidet. Av hensyn til den revisjonspliktige er brevet av 05.06.2002  i sin helhet unntatt offentlighet. Siden saken er av prinsipiell betydning, og siden Kredittilsynet normalt kommuniserer sine tilsynsmerknader i brev som er offentlig tilgjengelige, har vi funnet det hensiktsmessig å utarbeide et brev som omhandler sakens prinsipielle sider og Kredittilsynets konklusjon og merknader, og som ikke unntas offentlighet. Arthur Andersen & Co’s virksomhet og partnere gikk fra 2. mai 2002 inn i Ernst & Young AS. Merknadene sendes derfor til sistnevnte.


1.       AVGRENSET TEMATILSYN  -  FORMÅL

Kredittilsynet fører tilsyn med revisorer og revisjonsselskaper som er godkjent etter revisorloven, jf. kredittilsynsloven § 1 første ledd nr. 9. Det fremgår av kredittilsynsloven § 3 at Kredittilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtakter. Deres revisjonsvirksomhet vurderes derfor i forhold til de krav som revisorloven, forskrift om revisjon og revisorer, samt god revisjonsskikk oppstiller.

Tilsyn ble gjennomført i oktober 2001.  Hovedspørsmålet ved tilsynet var om det forelå dokumentert tilstedeværelse av revisjonsfaser som må betraktes som obligatoriske i revisjonsprosessen for alle enkeltselskaper i det konsernet som ble valgt ut for nærmere vurderinger. Det stedlige tilsynet rettet seg mot revisjonsutførelsen for regnskapsåret 2000.

Når det gjelder Deres revisjon av dette konsernet ble det  i forbindelse med forberedelsen til tilsynet avdekket at De i meget stort omfang benytter arbeid utført av internrevisjonen i konsernet som grunnlag for utstedelse av revisjonsberetning for flere av datterselskapene. Kredittilsynet fant det derfor nødvendig å vurdere revisjonsopplegget for dette konsernet nærmere og i forhold til de krav som revisorloven og god revisjonsskikk oppstiller. 


2.       BESKRIVELSE AV SAKENS INNHOLD

2.1. Innledning

Tilsynet ble gjennomført 17. oktober 2001.Til stede under de innledende samtalene var ansvarlig revisor for konsernet, og der det var aktuelt, oppdragsansvarlige revisorer for selskaper i konsernet.  Dessuten møtte enkelte andre representanter fra revisjonsteamet.

Arthur Andersen & Co har i betydelig grad basert revisjonen av flere datterselskaper i konsernet på arbeid utført av internrevisjonen.  Den totale timefordeling for revisjon av disse selskapene er etter det mottatte timeregnskapet slik:

Arthur Andersen & Co

259 timer

9,37 %

Internrevisjonen

2 506 timer

90,63 %

Sum

2 765 timer

100,00 %

I brev datert 19. desember 2001 gir Arthur Andersen & Co slik redegjørelse til den timeoppgave som ovenstående tall er hentet fra:

”Oversikten viser en tilnærmet fordeling av revisjonsinnsatsen fra internrevisjonen.  Imidlertid vil det ofte ikke være samme forhold mellom faktisk utført andel av arbeid knyttet til finansiell revisjon som andel av tid, idet kategorisering av hhv finansiell og operasjonell revisjon kan medføre at for mye tid er henført til finansiell revisjon fra internrevisjonen.

Når det gjelder tidsfordelingen mellom intern og ekstern revisor, er det viktig å hensynta følgende forhold:

  • En betydelig andel av det arbeid som er utført av Arthur Andersen & Co er gjennomført av svært erfarne medarbeidere, hvilket innebærer en lavere prosentsats enn det som er relevant som sammenligningsgrunnlag.
  • Det gjør også at effekten av det arbeid som er gjennomført ikke nødvendigvis er sammenfallende.
  • For en rekke av de opplistede selskaper er virksomheten under god kontroll og samtidig rimelig oversiktlig.  Dette innebærer at ekstern revisjon kan gjennomføres med begrenset ressursinnsats.  Internrevisjonen kan i enkelte sammenhenger ha gjennomført en mer omfattende finansiell revisjon enn det som strengt tatt er nødvendig etter lovens bestemmelser og god revisjonsskikk.

Oversikten må ses i sammenheng med at vår samlede tidsinnsats for revisjonen av xxxxxxxxx konsernet  utgjorde 22.144 timer for regnskapsåret 2000.”

Det bemerkes at de 22 144 timer i siste setning senere er korrigert til å være ca 10.000 timer.

I revisors brev av 30.04.02 er i flere sammenhenger poengtert at det på konsern-, forretningsområde- og divisjonsnivå utføres revisjon som også er relevant for datterselskaper, herunder de i denne saken aktuelle datterselskaper.  Det gjøres et anslag på at i størrelsesorden 1 000 timer er medgått til oppgaver som gjelder flere av datterselskapene og spesifikke problemstillinger i enkelte selskaper.  Det er ikke gitt noen antydning av hvor stor andel av dette timetallet som faller på de datterselskapene som behandles i dette brevet.  Kredittilsynet har imidlertid forståelse for at enkelte revisjonsoppgaver mer effektivt og hensiktsmessig kan løses på et annet nivå i konsernet enn i datterselskapet, men savner da referanse til dokumentasjonen som burde foreligge i det enkelte datterselskap.

Det er til dels meget store selskaper etter norske forhold denne revisjonsordningen omfatter.

2.2    Kredittilsynets forståelse og vurdering av revisjonsopplegget for konsernet.

Basert på Deres beskrivelser har dette gitt Kredittilsynet en forståelse av revisjonsopplegget og –utførelsen som kort kan sammenfattes slik:

Revisjonen har i utgangspunktet en konsern-angrepsvinkel, med fokusering på risiko.
Revisor vurderer den iboende risikoen i konsernet som lav.  Konsernet vurderes å ha en sterk økonomiorganisasjon med høy kompetanse i alle ledd, med en sentralisert finansorganisasjon.  På alle ledelsesnivåer i konsernet skjer en inngående oppfølgning av den kortperiodiske finansielle rapporteringen, og det stilles krav til høyt presisjonsnivå i rapporteringen.  Av denne grunn har også konsernet en forventning til revisor om en lav revisjonsmessig vesentlighetsgrense og toleransegrense for rapportering av feil.  Årsregnskapsprosessen i konsernet er opplyst å være meget grundig og omfattende.  Konsernets internrevisjon er vurdert å ha høy kompetanse.  Internkontrollen, herunder også internrevisjonen, er vurdert som god, og innebærer en vurdert lav kontrollrisiko.  Revisor får løpende tilstilt et omfattende rapporteringsmateriale fra konsernet, men det fremgår ikke av redegjørelser hvordan dette materialet blir benyttet i revisjonssammenheng.

Arthur Andersen & Co planlegger, sammen med internrevisjonen, den finansielle revisjonen som internrevisjonen utfører.  Det er imidlertid internrevisjonen som utarbeider og undertegner (dokumenterer) planleggingsdokumentet (APM = Audit Planning Memorandum, jf. vedlegg 4), som er adressert til revisor.  Revisor gjennomfører dessuten kvalitetsvurderinger av det arbeidet som internrevisjonen utfører.  Videre opplyses det fra ekstern revisors side at vanskelige problemstillinger som internrevisjonen kommer over i sin revisjon, løpende blir diskutert.  Før revisor utsteder revisjonsberetning til det enkelte selskap, mottar revisor fra internrevisjonen en rapporteringspakke for den gjennomførte revisjonen og avgir dessuten revisjonsberetning til revisor.

Det fremgår av Deres redegjørelser at internrevisjonen stort sett i alle faser (basert på planleggingsdokumentet) gjennomfører revisjonen, og at revisor gjennomgår internrevisors arbeidspapirer, delvis i kombinasjon med en rimelighetsvurdering av regnskapsposter/saldi.  Et unntak er konserninterne poster, som revisor reviderer i forbindelse med de eliminasjoner som gjøres ved utarbeidelse/revisjon av konsernregnskapet.  Der internrevisor innhenter eksterne bekreftelser (bankutskrifter, saldobekreftelser fra kunder/leverandører), foretar revisor en direkte kontroll ved gjennomgang av arbeidspapirene,  noe som i stor grad kan likestilles med at revisor selv har innhentet bekreftelsene.  Det fremgår imidlertid ikke av redegjørelsen hvem som definerer hvem saldobekreftelser skal innhentes fra, og heller ikke hvem som avgjør omfanget.

Kredittilsynet forstår revisjonsopplegget slik at det er internrevisjonen som i praksis forestår hele den tekniske revisjonen av de aktuelle datterselskaper. Denne forståelsen bygger blant annet på:

         - Den såkalte revisjonspakken fra internrevisjonen til revisor inneholder tilnærmet alle      elementer som inngår i ”full revisjon”.

         - Internrevisjonen avgir standard revisjonsberetning til revisor og bekrefter der at full revisjon overensstemmende med lov og god revisjonsskikk er gjennomført.

         - Av vedlegg (Arthur Andersen & Co’s Memo av desember 2000, mai 2001, juni 2001 vedrørende  internrevisjonen) fremgår at internrevisjonen rapporterer etter følgende retningslinjer:

  • Mindre feil vedrørende bokføring, skatt, avgift avklares med økonomiansvarlig.
  • Feil av betydning for regnskapet, svakheter i rutiner og intern kontroll, brudd på lover, regler og instrukser samt andre forhold som daglig leder bør ha kjennskap til, rapporteres skriftlig til daglig leder.
  • Alle forhold vedrørende daglig leder selv, forhold rapportert til daglig leder som styrets formann bør være kjent med samt forhold påtalt av internrevisjonen som ikke er tilfredsstillende fulgt opp, rapporteres til styrets formann.
  • Konstaterte misligheter rapporteres i tillegg direkte til konsernsjef.

Rapporteringen av denne type forhold som et resultat av en internrevisjons vanlige operasjonelle revisjon, er hensiktsmessig.  Når det imidlertid også dreier seg om en omfattende finansiell revisjon for eller i samarbeid med revisor, fremstår rapporteringsordningen som en delegasjon av rapportering av forhold som revisor selv plikter å gjøre ved nummerert brev, jf. revisorloven § 5-2 fjerde ledd.

Internrevisjonen identifiserer problemstillinger, som blir diskutert med revisor.  Dette har den åpenbare svakhet at det er de problemstillinger den revisjonspliktige selv identifiserer som blir gjenstand for videre behandling av revisor.  Dette er ikke nødvendigvis sammenfallende med problemstillinger som kunne blitt identifisert dersom revisor selv hadde utført det tilsvarende revisjonsarbeidet.  Revisor foretar i liten grad egen bevisinnhenting fra de revisjonspliktige selskaper som grunnlag for revisjonsmessige konklusjoner, og revisor foretar kun i meget begrenset utstrekning en selvstendig testing (kun gjennomgang av arbeidspapirer) av internrevisjonens arbeid.

Som det fremgår tidligere, er iboende risiko og kontrollrisiko vurdert som lav.  Mottatte redegjørelser tolker Kredittilsynet slik at revisor har knyttet den lavt vurderte iboende risikoen til vesentlige regnskapsposter og transaksjonstyper, som er ett av alternativene RS 400 pkt. 11 oppstiller.  Når det gjelder lav kontrollrisiko, uttales i RS 400 pkt. 31:

”Revisor må fremskaffe revisjonsbevis gjennom systemtester for å underbygge enhver konklusjon om at kontrollrisikoen ikke er høy.  Jo lavere kontrollrisikoen er vurdert å være, jo mer omfattende bevis må revisor fremskaffe for at regnskaps- og intern kontroll-systemene er hensiktsmessig utformet og at de virker effektivt.”

I RS 400 pkt. 45 blir ytterligere uttalt:
Uansett vurdert nivå for iboende risiko og kontrollrisiko, må revisor utføre noe substanskontroll vedrørende vesentlige regnskapsposter og transaksjonstyper.”

I forbindelse med tilsynet eller i senere redegjørelser er det ikke fremlagt dokumentasjon for foretatt systemtesting.  Internrevisjonen er en del av konsernets interne kontroll, og vil derfor ikke på uavhengig grunnlag kunne gjøre tester av internkontrollen med revisjonsmessig utsagnskraft for revisor.  Når internrevisjonen utfører så omfattende finansiell revisjon som tilfellet er her, er det derfor desto større grunn til, ettersom revisor i betydelig grad baserer sine konklusjoner på denne revisjonen, at revisor selv gjennomfører relativt omfattende systemtester.  Tilsvarende begrunnelse vil gjelde også de substanskontroller som revisor må gjøre.

Konsernets krav om lav revisjonsmessig vesentlighetsgrense og toleransegrense for rapportering av feil (jf. pkt 4.3) tilsier også behov for en øket bruk av substanskontroller fra revisors side.


3.       EKSTERN REVISORS BRUK AV INTERNREVISJONENS ARBEID – FORHOLDET TIL REVISORLOVEN OG GOD REVISJONSSKIKK

3.1    Revisjonsplikten

I revisorloven § 1-1 annet ledd er bestemt at revisjon av revisjonspliktiges årsregnskap skal foretas i samsvar med revisorlovens bestemmelser.  Det følger videre av revisorloven § 2-1 første ledd:

”Regnskapspliktige etter regnskapsloven § 1-2 første ledd skal påse at årsregnskapet revideres av en registrert revisor eller statsautorisert revisor i samsvar med § 2-2 (revisjonsplikt) når ikke annet er bestemt i eller i medhold av lov.”

Det bemerkes at overtredelse av bestemmelsen, herunder medvirkning, er straffesanksjonert etter revisorloven § 9-3.

Revisorloven § 2-1 annet, tredje og fjerde ledd inneholder nærmere avgrensninger av revisjonspliktens utstrekning.  Det legges til grunn at loven er uttømmende for dette forholdet.

I lovens kapitel 4 omhandles revisors uavhengighet og objektivitet, som må ses sammen med kravene i lovens § 1-1 annet ledd om at revisjonen skal utføres i samsvar med bestemmelsene i loven.

Revisjonsplikten er i henhold til revisorloven knyttet til den enkelte regnskapspliktige etter regnskapsloven § 1-2 og til det enkelte årsregnskap. Dette innebærer at alle revisjonspliktige, herunder det enkelte datterselskap i et konsern, må underlegges en fullstendig revisjon i overensstemmelse med god revisjonsskikk.

Sett i sammenheng  innebærer de refererte bestemmelsene at årsregnskapet til den revisjonspliktige skal revideres av godkjent registrert eller statsautorisert revisor, som dessuten skal oppfylle lovens krav til uavhengighet og objektivitet.

3.2      Revisjonsutførelsen

Kravene til revisjonsutførelsen følger av revisorlovens kapittel 5, hvor særlig  §§ 5-1 og 5-2 er sentrale.  Ved siden av konkrete krav i lovteksten, bestemmes i § 5-2 annet ledd at revisor skal utføre sin virksomhet i samsvar med god revisjonsskikk.

Revisorlovens utgangspunkt er at det er ekstern revisor som selv, og ved bruk av  medarbeidere, skal gjennomføre og dokumentere revisjonen av årsregnskapet. God revisjonsskikk gir imidlertid adgang til å redusere revisjonsomfanget ved å bygge på kontrollaktiviteter som den revisjonspliktige selv har iverksatt, og som vil dekke den eksterne revisors formål. Det forutsettes da at revisor finner at disse kontrollene gjennomføres på en kvalitativt tilfredsstillende måte.  Dette må revisor teste og ha en dokumentert konklusjon på før grunnlaget for å bygge på slik kontroll er til stede.

Om revisors vurdering av revisjonsrisiko fremkommer av RS 400 Risikovurdering og intern kontroll pkt.2:
”Revisor må skaffe seg tilstrekkelig kjennskap til regnskaps- og intern kontroll-systemene til å kunne planlegge revisjonene og utvikle en effektiv revisjonsmessig angrepsvinkel. Revisor må anvende profesjonelt skjønn for å vurdere revisjonsrisikoen og for å kunne utforme revisjonshandlinger som sikrer at den reduseres til et akseptabelt nivå.”

Revisjonsrisikoen er en funksjon av iboende risiko, kontrollrisiko og oppdagelsesrisiko. I vedlegg til RS 400 beskrives sammenhengen mellom komponentene i revisjonsrisikoen. Dersom iboende risiko og kontrollrisiko vurderes som lav, kan revisor legge til grunn en motsvarende høyere oppdagelsesrisiko for egne kontrollhandlinger.

Om revisors vurdering av kontrollrisiko fremkommer av RS 400 Risikovurdering og intern kontroll pkt. 31 og 45 annet punktum:

”Revisor må fremskaffe revisjonsbevis gjennom systemtester for å underbygge enhver konklusjon om at kontrollrisikoen ikke er høy. Jo lavere kontrollrisikoen er vurdert å være, jo mer omfattende bevis må revisor fremskaffe for at regnskaps- og intern kontroll-systemene er hensiktsmessig utformet og om de virker effektivt.”
og
”Uansett vurdert nivå for iboende risiko og kontrollrisiko, må revisor utføre noe substanskontroll vedrørende vesentlige regnskapsposter og transaksjoner.”

Ekstern revisor kan generelt basere deler av sin revisjon på selskapets interne kontrollsystem og herved redusere kontrollrisikoen. Som det fremgår av standarden, må den eksterne revisor da foreta systemtester for å klargjøre kontrollverdi og i hvilket omfang den dekker ekstern revisors formål.

Ekstern revisor må uansett gjennomføre konkrete substanskontroller. Revisor må innhente tilstrekkelige og hensiktsmessige revisjonsbevis for vesentlige regnskapsposter og transaksjonstyper slik at revisjonsrisikoen blir redusert til et akseptabelt nivå. Kredittilsynet vil i denne sammenheng påpeke at vurdering av vesentlighet i overensstemmelse med RS 320 – Vesentlighet - skal gjennomføres for det enkelte revisjonspliktige årsregnskap. Nødvendige revisjonshandlinger må derfor utføres av ekstern revisor for hvert enkelt datterselskap, og kan ikke bare gjennomføres på rotasjonsbasis på konsernnivå.

Om revisjonsbevis fremkommer i RS 500 pkt. 2 og 12:

”Revisor må innhente tilstrekkelig og hensiktsmessig revisjonsbevis for å kunne trekke konklusjoner som grunnlag for revisjonsberetningen.”
og
”Når revisjonsbevis innhentes ved substanskontroller, må revisor vurdere tilstrekkeligheten og hensiktsmessigheten av bevisene sammen med bevis fra systemtester, for å underbygge regnskapspåstandene”.

3.3      Ekstern revisors forhold til internrevisjonen

For forståelsen av bestemmelser som refereres i det følgende tas her inn definisjonen av internrevisjon slik denne fremgår av revisjonsstandarden RS 110 Ordliste:
”Internrevisjon (Internal auditing)  -  ”Internrevisjon” er en evaluerende funksjon etablert innen et foretak som en støttefunksjon for foretaket.  Internrevisjonens arbeidsoppgaver er blant annet å gjennomgå, vurdere og overvåke at regnskaps- og intern kontroll-systemene er effektive og tilstrekkelige”.

Internrevisjonen  er en del av foretakets interne kontroll.  På linje med det som er drøftet foran er det klart at ekstern revisor i overensstemmelse med god revisjonsskikk også kan bygge sitt revisjonsarbeid på det arbeidet som utføres av internrevisjonen, såfremt det anses som relevant for ekstern revisors formål. I denne  sammenheng er det særlig RS 400 Risikovurdering og intern kontroll og RS 610 Vurdering av internrevisjonens arbeid som er relevante.

Når det gjelder RS 610 er hensikten å gi veiledning for ekstern revisor ved vurdering av internrevisjonens arbeid, slik at han kan avgjøre om revisjonen kan bygge på deler av det arbeidet internrevisjonen har utført. Det fremkommer blant annet av RS 610 pkt 10:

”Dersom selskapet har en effektiv internrevisjon, kan den eksterne revisor modifisere type og tidspunkt for utførelsen av revisjonshandlingene samt redusere revisjonshandlingenes omfang, men ikke eliminere dem fullstendig.”

Når ekstern revisor bygger på internrevisjonens arbeid er det, slik Kredittilsynet ser det, de samme prinsipper som gjør seg gjeldende som når ekstern revisor evaluerer og tester den interne kontroll for øvrig for å avgjøre hvilke revisjonshandlinger som skal utføres. Revisjonshandlingene kan reduseres, men ikke elimineres. Det er fortsatt krav om at revisor på selvstendig basis skal utføre en fullstendig revisjon.

Det er imidlertid en vesentlig avgrensning i RS 610 pkt. 1 andre punktum, hvor det er uttalt:

”Standarden omfatter ikke de tilfeller hvor internrevisor bistår eksternrevisor med utførelse av eksterne revisjonshandlinger.”

Slik Kredittilsynet forstår dette er det i standarden tatt høyde for at internrevisor nærmest kan ha en rolle som ekstern revisors medarbeider i  forbindelse med revisjonen. Kredittilsynet kan ikke se at denne avgrensningen er relevant i norsk revisjon, da revisorloven § 4-3 har et krav om at ekstern revisors medarbeidere skal være underlagt de samme krav til uavhengighet og objektivitet som gjelder for ansvarlig revisor. Internrevisjonen vil ikke oppfylle disse kravene pga sitt ansettelsesforhold i foretaket eller i morselskapet.  Internrevisjonen kan derfor kun i begrenset omfang utføre revisjonsoppgaver for revisor.  Et typisk eksempel vil være eksterne bekreftelser, hvor revisor ved kvalitetskontroll av internrevisjonens arbeid enkelt kan forholde seg til den eksterne dokumentasjonen.  Kredittilsynet legger til grunn at, ut fra forholdene i saken her kan Arthur Andersen & Co’s bruk av internrevisjonen i det alt vesentlige vurderes i forhold til god revisjonsskikk slik dette er uttrykt i RS 610, dvs uten at avgrensningen i pkt 1 andre punktum får anvendelse.  Arthur Andersen & Co bekrefter for øvrig selv at RS 610 er lagt til grunn.


4.       KREDITTILSYNETS VURDERING AV ARTHUR ANDERSEN & CO’s BRUK AV INTERNREVISJONENS ARBEID

4.1  Vurdering av forholdet mellom internrevisjonen og ekstern revisor

De aktuelle selskapene har ivaretatt sin plikt etter revisorloven § 2-1 ved å velge Arthur Andersen & Co til revisor.  Arthur Andersen & Co. har på sin side påtatt seg vervet som ekstern revisor for disse selskapene, og har derigjennom påtatt seg en plikt til å revidere årsregnskapene og avgi revisjonsberetning i overensstemmelse med revisorlovens krav.

Forholdet mellom internrevisjonen og ekstern revisor kan drøftes ut fra 2 alternative modeller:  1) internrevisjonen fungerer som  ekstern revisors medarbeider og  2) ekstern revisor bygger på internrevisjonens arbeid.


1.  Internrevisjonen som ekstern revisors ”medarbeider”

Arthur Andersen & Co har i brev datert 19. desember 2001 beskrevet samarbeidet med internrevisjonen på ulike måter:

- ”utført arbeid etter instruks” 
- ”utført revisjonshandlinger etter arbeidsprogram godkjent av Arthur Andersen & Co
 - ”utført enkelte revisjonshandlinger etter program fra Arthur Andersen & Co
- ”revidert i nært samarbeid med internrevisjonen

Etter Kredittilsynets syn kan formuleringen av samarbeidets art ikke være avgjørende.  Når konsernet velger å anvende ressurser fra internrevisjonen til finansiell revisjon, og når denne revisjonen er  sammenfallende med den revisjon ekstern revisor har plikt til å utføre etter revisorloven, kan ordningen vanskelig forstås på annen måte enn at den er ment som en ordning der ”internrevisor bistår ekstern revisor med utførelse av eksterne revisjonshandlinger” (jf. RS 610 pkt. 1).  Ordningen fremstår i særdeleshet slik fordi internrevisjonen til og med avgir revisjonsberetning uten begrensninger (dvs. ved bekreftelse av at fullstendig revisjon, inklusive årsregnskapsrevisjon, etter revisorloven er gjennomført) til ekstern revisor for de aktuelle selskapene.

Et spørsmål er om situasjonen må bedømmes ut fra medarbeiderbestemmelsen i revisorloven § 4-3 (og som viser til habilitetskravene i § 4-1),  ut fra det forhold at internrevisjonen i betydelig utstrekning har hatt en medarbeiders rolle ved utførelsen av den finansielle revisjonen. Det er Kredittilsynets vurdering at det ikke er nødvendig å ta standpunkt til det spørsmålet, idet man kan gå direkte til bestemmelsen i revisorloven § 4-1 annet ledd nr. 1 som lyder:
Ӂrsregnskapet for den revisjonspliktige kan ikke revideres av:

1.  den som er ansatt hos den revisjonspliktige......”

og som må ses i sammenheng med § 4-1 femte ledd:
”Den som etter reglene i dette kapittel ikke kan revidere årsregnskap avlagt av morselskapet, kan heller ikke revidere årsregnskap avlagt av datterselskap.”

Det er grunnleggende i strid med revisjonens formål at den revisjonspliktiges ansatte (internrevisjonen) skal utøve den finansielle revisjon med etterfølgende begrenset rimelighetsvurdering av ekstern revisor. Det må etter Kredittilsynets vurdering være åpenbart at det ikke er adgang for den revisjonspliktige til å ”revidere seg selv”. 

Kredittilsynet merker seg at  Arthur Andersen & Co langt på vei deler denne oppfatningen. I brev av 8. november 2001 gis det uttrykk for at:

”Selv om vi oppfatter IR som uavhengig i forhold til datterselskapene, er de imidlertid ikke uavhengige etter revisorloven, jfr. § 4-1, og vi kan således, så langt vi forstår revisorloven, ikke bygge på deres arbeid som om de var en annen revisor.  Vår oppfølging er basert på dette faktum.  Tilsvarende betrakter vi dem ikke som medarbeidere idet de etter revisorloven § 4-3 antagelig ikke vil være tilstrekkelig uavhengige til å kunne utføre revisjon av datterselskaper.”

Kredittilsynet har vanskelig for å forstå utsagnet om at internrevisjonen kan oppfattes som uavhengig i forhold til datterselskapene, idet det vel er slik at konsernledelsen har instruksjonsmyndighet overfor internrevisjonen. For øvrig kan Kredittilsynet slutte seg til de synspunkter det er gitt uttrykk for i forhold til revisorloven § 4-1 og § 4-3.  Til tross for synspunktene i forhold til § 4-3 lar altså ekstern revisor internrevisjonen utføre betydelige deler av revisjonen for enkelte av datterselskapene.

Konklusjonen er således at internrevisjonen ikke kan fungere som ekstern revisors medarbeider og det er Arthur Andersens & Co som selv må forestå den lovbestemte revisjonen av alle selskapene i konsernet.    

2. Ekstern revisor bygger på internrevisjonens arbeid

Som redegjort foran er det innenfor rammen av god revisjonsskikk adgang for ekstern revisor til å bygge på selskapets interne kontroll, herunder internrevisjonens arbeid. Arthur Andersen & Co legger selv dette til grunn i brev av 8. november 2001, jf. pkt. 4.2 foran.  Mye av det kontrollarbeid som internrevisjonen gjør vil normalt være verdifullt som grunnlag for revisors egne vurderinger av foretakets internkontroll og delvis er det også slik at internrevisjonens arbeid kan være del av ekstern revisors bevisinnhenting.  Det er to forhold som  må være oppfylt for at ekstern revisor kan bygge på internrevisjonens arbeid.:

  • internrevisjonsarbeidet må fremstå som relevant for den eksterne revisor på enkelte av revisjonsområdene
  • den eksterne revisor må teste og evaluere dette revisjonsarbeidet for å sikre at det dekker den eksterne revisors formål.

RS 610 angir hvordan eksterne revisorer skal vurdere kvaliteten av internrevisjonens arbeid, og det fremkommer i standardens pkt 16 som et krav at

”Når den eksterne revisor har til hensikt å benytte arbeid utført av internrevisjonen, må den eksterne revisor evaluere og teste dette arbeidet for å sikre at det dekker den eksterne revisors formål”.

Kredittilsynet forstår det slik at Arthur Andersen & Co har evaluert internrevisjonens arbeid. Det knytter seg imidlertid betydelig usikkerhet til omfanget av denne testingen av internrevisjonens arbeid. Ut fra de redegjørelser vi har mottatt, har ekstern revisor ikke utført direkte etterprøving, slik standarden f.eks angir i pkt 18, der mulige metoder er kontroll av forhold som allerede er kontrollert av intenrevisjonen, kontroll av andre, tilsvarende forhold og observasjoner av internrevisjonens arbeid.  Når det legges til grunn, angir standardens pkt 18 at

”Type, tidspunkt for utførelse og omfang av testingen av internrevisjonens arbeid avhenger av den eksterne revisors vurdering av risiko og vesentlighet.”.

Kredittilsynet kan ikke se at revisors beskrevne testing av internrevisjonens arbeid er tilstrekkelig for å sikre et forsvarlig grunnlag for revisjonsberetningen.  Like problematisk er det at revisors arbeidspapirer i forhold til de vurderinger som er gjort på dette området, fremstår som meget mangelfulle.

Dessuten fremgår det av RS 400 Risikovurdering og intern kontroll (pkt. 31) at jo lavere kontrollrisikoen er vurdert å være, jo mer omfattende bevis må ekstern revisor fremskaffe for at regnskaps- og internkontrollsystemene er hensiktsmessig utformet og at de virker effektivt.

Arthur Andersen & Co gir uttrykk for at ”testing ved gjennomgang/review kan være tilstrekkelig revisjonsbevis forutsatt at dokumentasjonen er tilstrekkelig omfattende til at AA kan gjøre seg opp en selvstendig konklusjon”. Det er Kredittilsynets vurdering at å gjøre dette gjeldende for tilnærmet hele den finansielle revisjonen hos den revisjonspliktige, ikke kan aksepteres som ”tilstrekkelig og hensiktsmessig revisjonsbevis”, jf. RS 500 Revisjonsbevis pkt. 2.  Standarden bygger gjennomgående på at det er revisor selv som skal innhente revisjonsbevisene.  Internrevisjonens arbeid kan kun inngå som et element i slik bevisinnsamling.

Endelig vil Kredittilsynet poengtere at ekstern revisor uansett må forestå en fullstendig revisjon på selvstendig basis, selv om han velger å bygge på internrevisjonens arbeid. Dette kommer klart til uttrykk i god revisjonsskikk gjennom RS 610 pkt 10, hvor det angis at  ekstern revisor kan redusere sitt revisjonsarbeid, det kan ikke elimineres.

Kredittilsynets vurdering av de to alternativene:

Det er Kredittilsynets oppfatning at internrevisjonens deltakelse i den finansielle revisjonen må vurderes ut fra et medarbeidersynspunkt, jf. revisorloven § 4-3. Denne bestemmelsen i kombinasjon med revisorloven § 4-1 bestemmer klart at en revisormedarbeider ikke kan være ansatt hos den revisjonspliktige.  Avgjørende for Kredittilsynets oppfatning er:

  • Konsernledelsen har stilt internrevisjonen til disposisjon for revisors bruk..
  • Internrevisjonen utfører den finansielle revisjonen etter instruks av revisor eller etter utarbeidet plan i samarbeid til revisor.
  • Internrevisjonen rapporterer resultatet av revisjonen til revisor.
  • Internrevisjonen utsteder standard revisjonsberetning til revisor,  hvor det bekreftes at fullverdig revisjon er gjennomført.
  • Revisor har ikke i sine arbeidspapirer konkret angitt hva som er kontrollert av internrevisjonens arbeid, og betegner dette som ”på mange måter i tråd med det erfarne medarbeidere og ansvarlig revisor gjennomfører i de situasjoner hvor en yngre medarbeider har utarbeidet detaljdokumentasjonen”.
  • Det foreligger begrenset (og ikke fremlagt i forbindelse med tilsynet) dokumentasjon for gjennomførte systemtester for kontrollrisiko.
  • Internrevisjonens dokumentasjon (arbeidspapirer for den finansielle revisjonen) er vurdert som (likestilt med) ”tilgjengelig dokumentasjon på utført revisjonsarbeid”.

Denne revisjonsmodellen er således i strid med revisorloven.

Den redegjørelse over egen revisjonsaktivitet som Arthur Andersen & Co selv gir i brevene til Kredittilsynet, var ikke tilsvarende ettersporbar i revisors egne arbeidspapirer, i de selskaper som ble vurdert under tilsynet.  Det ble heller ikke identifisert dokumentasjon som viste at revisor hadde foretatt selvstendige tester, kontroller eller gjennomganger.  Ettersom revisor uttaler at dette gjøres kun når det er ”nødvendig ut fra en risikobetraktning”, legger Kredittilsynet til grunn at det er forklaringen.Kredittilsynet har imidlertid merket seg at også datterselskapsrelevant revisjon kan være utført på forretningsområde-, divisjons- eller konsernivå, noe som er naturlig i et konsern av denne størrelse.  Likevel savnes på datterselskapsnivå de referanser som da bør forventes å foreligge av hensyn til lovens dokumentasjonskrav.

Ut fra dette fremstår det for Kredittilsynet som at Arthur Andersen & Co’s revisjonsaktivitet  har begrenset seg til samtaler/diskusjoner med internrevisjonen og til en ikke dokumentert gjennomgang av internrevisjonens arbeidspapirer, blant annet med utgangspunkt i den ”revisjonspakken” som internrevisjonen avgir til Arthur Andersen & Co.

4.2    Eksternrevisors timeforbruk

Arthur Andersen & Co`s timeinnsats på disse selskapene varierer mellom 4 og 35 timer, dvs fra ca. ½ dag til ca. 4 ½ dag for det enkelte selskap.  Samlet gir dette timeinnsats på 259 timer.  Det tas imidlertid med i betraktningen at i brevet av 30.04.2002 anslås at revisjon utført i andre deler av konsernet, og som er relevant også for de aktuelle selskapene, utgjør ca. 1 000 timer.

Dette timetallet må ses i relasjon til det arbeid revisor alltid må utføre for å tilfredsstille revisorlovens krav (herunder god revisjonsskikk).

Selv basert på en modell hvor eksternrevisor bygger på internrevisjonens arbeid, vil det uansett være en del minimums revisjonshandlinger som revisor selv må gjennomføre på selskapsnivå:

  • Planlegging av revisjonen (utarbeidelse av revisjonsplan), herunder vurdering av vesentlighet (RS 320), risiko og intern kontroll (RS 400) samt gjennomføring av analytiske kontrollhandlinger (RS 520), og som skal munne ut i en beskrivelse av angrepsvinkel og omfang av revisjonen (RS 300 pkt. 8).  RS 400 forutsetter i pkt. 2 at revisor må skaffe seg tilstrekkelig kjennskap til regnskaps- og intern kontroll-systemene til å kunne planlegge revisjonen og utvikle en effektiv revisjonsmessig angrepsvinkel. Av samme standard pkt. 36 fremgår at for eksisterende oppdrag vil revisor ha slik kunnskap fra tidligere arbeid, men at kunnskapen må oppdaterer med henblikk på mulige endringer, og revisor må fremskaffe revisjonsbevis som underbygger dette.  Videre må revisor vurdere om de interne kontrollene har vært virksomme i hele perioden (standarden pkt. 37). 
  • Utarbeidelse av revisjonsprogram, herunder angi type, tidspunkt for utførelse og omfang av revisjonshandlinger (RS 300 pkt. 10).
  • Gjennomføre revisjonsprogrammet (innhenting av tilstrekkelige og hensiktsmessige revisjonsbevis for å kunne trekke konklusjoner som grunnlag for revisjonsberetningen, jf. RS 500 pkt. 2 og RS 501).
  • Dersom ekstern revisor har funnet og dokumentert et grunnlag for å kunne bygge på arbeid utført av internrevisjonen, ”kan den eksterne revisor modifisere type og tidspunkt for utførelsen av revisjonshandlingene samt redusere revisjonshandlingenes omfang, men ikke eliminere dem fullstendig” (RS 610 pkt. 10).  Revisor må da tilgjengjeld ”evaluere og teste dette arbeidet for å sikre at det dekker den eksterne revisors formål” (RS 610 pkt. 16).
  • Revidere årsregnskapet, herunder gjennomføre analytiske kontrollhandlinger (RS 520 pkt.2) samt vurdere ”nærstående parter” (RS 550), ”hendelser etter balansedagen” (RS 560) ”fortsatt drift”-forutsetningen (RS 570) og gjennomføre de vurderingskrav som følger av revisorloven § 5-1 første ledd.
  • Avgi revisjonberetning (revisorloven § 5-6 og RS 700)
  • Utføre intern kvalitetskontroll av revisjonsarbeidet (RS 220)
  • Dessuten skal revisor ”se etter at den revisjonspliktige har ordnet formuesforvaltningen på en betryggende måte og med forsvarlig kontroll” og ”skal gjennom revisjonen bidra til å forebygge og avdekke misligheter og feil”, jf. revisorloven § 5-1 annet og tredje ledd.
  • For alle foranstående kulepunkter skal revisor ”kunne dokumentere hvordan revisjonen er gjennomført samt resultatet av revisjonen på en måte som er tilstrekkelig til å kunne underbygge og etterprøve revisors konklusjoner” (revisorloven § 5-3, jf. også RS 230) samt å vurdere behovet for å ta forhold opp i nummerert brev til selskapet (revisorloven § § 5-4 og 5-2 fjerde ledd.)
  • Gjennomgå/kvalitetssikre likningsdokumenter og attestere disse (der det kreves)

Det er Kredittilsynets oppfatning at revisors anvendte tid på disse selskapene, samlet sett ikke gjør det mulig for revisor selv å gjennomføre disse revisjonshandlingene i overensstemmelse med revisorloven og god revisjonsskikk.

5.      PRESENTASJON AV REVISJONSHONORAR I NOTE TIL REGNSKAPET

I noter til regnskapet i de aktuelle saker er internrevisjonens ressursbruk slått sammen med ekstern revisors honorar, og presentert som samlet revisjonshonorar.  Det er Kredittilsynets oppfatning at ved å slå beløpene sammen i det enkelte selskap til ett beløp betalt for revisjon, uten at det fremgår at internrevisjonstjenester også er inkludert, er noteopplysningen vesentlig villedende: Noten gir inntrykk av en langt mer omfattende ekstern revisjon enn det som faktisk har vært tilfellet, hvilket må karakteriseres som vesentlig feilinformasjon.

Når regnskapsloven § 7-31 første ledd krever ”godtgjørelse til revisor” som noteopplysning, er det, etter Kredittilsynets oppfatning neppe tvil om at det er ekstern revisors godtgjørelse det siktes til. Det er imidlertid intet som hindrer at godtgjørelse til internrevisjonen også oppgis, men beløpene kan da ikke slås sammen og oppgis i ett beløp.
Det er det enkelte selskaps styre som avlegger årsregnskap.  På grunn av notens villedende karakter er det Kredittilsynets oppfatning at ekstern revisor burde sørget for å få noten korrigert til å vise de faktiske forhold.

6.      KREDITTILSYNETS SAMMENFATTENDE VURDERING OG KONKLUSJON

Revisorloven har ingen regler om at revisjonspliktige regnskaper kan revideres på annen måte enn det som fremkommer av lov og god revisjonsskikk, heller ikke for heleide datterselskaper m.v.  Særlig risiko- og vesentlighetsforhold i den revisjonspliktige virksomheten vil være betydelige faktorer i avgjørelsen av angrepsvinkel for og omfang av revisjonen. Dessuten vil den revisjonspliktiges egne kontrolltiltak (internkontroll og internrevisjon) kunne omfatte forhold som også dekker den eksterne revisjonens formål, og revisor kan i en viss utstrekning bygge på slike tiltak og derigjennom kunne modifisere sin revisjon. Gjennom planleggingen av revisjonen gjør revisor antagelser (hypoteser)om tilstanden i den revisjonspliktige virksomheten, oppstiller en angrepsvinkel for revisjonen og må gjennom den etterfølgende bevisinnhentingen søke å få bekreftet eller avkreftet den tilstanden planleggingen bygger på.  Tilsvarende vil det være når revisor bygger på virksomhetens egne kontrolltiltak.  Revisor må gjennom egne tester få bekreftet eller avkreftet at kontrollene fungerer som forutsatt for hele rapporteringsperioden. Selv om revisor bygger sin revisjon på virksomhetens egen kontroll, kan egne revisjonshandlinger aldri elimineres  helt.  Dette følger også av god revisjonsskikk.

De har anført at datterselskapenes selskapsregnskap i et konsern har begrenset informasjonsverdi fordi det ikke har plikt til å anvende egenkapitalmetoden i årsregnskapene. Kredittilsynet finner ikke at argumentet er av betydning i relasjon til revisjonsplikten. Revisjonsplikten i seg selv er etter revisorloven ikke knyttet opp mot graden av regnskapets informasjonsverdi.  Dessuten er de fleste av selskapene hvor internrevisjonen har utført hovedtyngden av den finansielle revisjon ”siste ledds datterselskaper”, noe som innebærer at disse selskapene ikke er morselskap i underkonsern og at de dermed ikke har datterselskap som hverken regnskapsføres etter egenkapitalmetoden eller kostmetoden.

Det er Kredittilsynets oppfatning at revisor på en uakseptabel måte har basert seg på internrevisjonens finansielle revisjon.  Dette har skjedd i en slik utstrekning at realiteten er at disse selskapene ikke har blitt revidert av uavhengig, ekstern revisor i henhold til revisorlovens krav. Konsernet har for disse selskapene i realiteten ”revidert seg selv”.

Det er, med de begrunnelser som er gitt foran, Kredittilsynets sammenfattende vurdering at revisjonen for de aktuelle  selskapene ikke er utført i samsvar med revisorloven og god revisjonsskikk.   Kredittilsynets konklusjon er at revisjonsberetningene er utstedt på sviktende grunnlag, og at revisjonsberetningenes innhold, når det gjelder beskrivelse av revisjonens utførelse, er misvisende.

7.      KVALITETSKONTROLL AV REVISJONSARBEIDET

Det følger av RS 220  - Kvalitetskontroll av revisjonsarbeidet - at revisjonsselskapet må utarbeide og iverksette retningslinjer og rutiner for kvalitetskontroll for å sikre at alle revisjonsoppdrag blir gjennomført i henhold til god revisjonsskikk (pkt. 4).  Retningslinjene og rutinene for kvalitetskontrollen må iverksettes både på revisjonsselskaps- og enkeltoppdragsnivå (pkt. 2).

Det kan konstateres at Arthur Andersen & Co har gjennomført en intern kvalitetskontroll, men har ikke vurdert den utførte revisjonen for de aktuelle selskapene  som manglende eller mangelfull revisjonsutøvelse.  Denne svakheten ved kvalitetskontrollen forsterkes av at det her gjelder selskaper som inngår i et konsern av stor samfunnsmessig betydning.  Kredittilsynet har dessuten merket seg at Andersen Worldwide ved to anledninger har gjennomført kvalitetskontroll av revisjonen for dette konsernet, ”uten at innvendinger har fremkommet”.

På bakgrunn av at Arthur Andersen & Co. med virkning fra 2. mai 2002 opphørte som revisjonsselskap og ble slettet i revisorregisteret, har Kredittilsynet funnet at den varslede kritikken vedrørende kvalitetskontrollen frafalles når det gjelder det nye, videreførte selskapet Ernst & Young AS.

8.      KREDITTILSYNETS ENDELIGE MERKNADER

De ber om at Kredittilsynets endelige merknader gjøres gjeldende overfor revisjonsselskapet og ikke de oppdragsansvarlige revisorer. Dette  begrunnes med at dette er et opplegg som er etablert og fulgt for revisjonen på konsernbasis.  Det er dermed Arthur Andersen & Co som selskap og ikke den oppdragsansvarlige revisor for det enkelte oppdrag som reelt er ansvarlig for det opplegget som er valgt.

Kredittilsynets kommentar til dette er at etter revisorloven § 2-2 skal  revisjonsselskapet utpeke en ansvarlig revisor for hvert oppdrag.  Dessuten er godkjenningen av revisorer i Norge personlig og individuell.  Det påhviler derfor den enkelte revisor et selvstendig ansvar for å ivareta de krav revisorloven stiller opp for å beholde godkjenningen.  Dersom det eksempelvis foreligger en situasjon hvor det har oppstått uenighet i syn mellom revisjonsselskapet og revisor (som partner eller ansatt i selskapet) i spørsmål om revisoradferd som reguleres av revisorloven, har revisor et selvstendig ansvar for å ivareta interessene tilknyttet sin godkjennelse som revisor.   Det vil således ikke være mulig å søke beskyttelse i revisjonsselskapets forhold, eksempelvis i overordnet policy i selskapet.  Den enkelte revisor må ta et selvstendig standpunkt til slik policy i forhold til sine plikter som godkjent revisor.

Av denne grunn rettes merknadene mot den enkelte oppdragsansvarlige revisor.  Ettersom det er aksepten av et prinsipp som ledd i en policy som er det vesentligste i forholdet, vil det spille mindre rolle hvilke eller hvor mange selskaper prinsippet er anvendt på.

Etter en totalvurdering har Kredittilsynet kommet til at den modellen Arthur Andersen & Co har lagt til grunn for samarbeidet med internrevisjonen ikke er i overensstemmelse med revisorlovens krav til revisjon av revisjonspliktige. Det bemerkes imidlertid at i omfang gjelder denne samarbeidsformen en relativt sett mindre del av konsernet.   Kredittilsynet har  ikke indikasjoner på at dette revisjonsarbeidet har resultert i at det er vesentlige, uavdekkede feil i årsregnskapene for år 2000 for de aktuelle selskapene.

Det revisjonsprinsipp som Arthur Andersen & Co har benyttet ved revisjon av enkelte dattterselskaper i konsernet er etter Kredittilsynets vurdering sterkt kritikkverdig. Kredittilsynet har på dette grunnlaget rettet sterk kritikk til flere av de oppdragsansvarlige partnere i selskapet.

Kredittilsynets merknader er ikke enkeltvedtak og kan ikke påklages.

 

Etter fullmakt

Anne Merethe Bellamy                                                                           Steinar Nyhus